Basado en información de The Hacker News →
Introducción
Un nuevo ataque a la cadena de suministro demuestra que los criminales ya no se conforman con scripts de instalación tradicionales: han aprendido a abusar de herramientas legítimas del desarrollador, como Visual Studio Code, para ejecutar código malicioso sin levantar sospechas.
El problema
Investigadores de seguridad de JFrog descubrieron dos paquetes de npm y un grupo de paquetes de Go que fueron secuestrados (hijacked) para desplegar un ladrón de información (infostealer) escrito en Python en sistemas Windows, Linux y macOS. El ataque se aprovecha de las tareas (tasks) de Visual Studio Code, un mecanismo legítimo de automatización para desarrolladores, para ejecutar el código dañino. Según informó The Hacker News, los paquetes evitan los flujos de ejecución más comunes de npm, como los lifecycle scripts, posiblemente para seguir siendo funcionales incluso con las protecciones de seguridad incorporadas en npm v12.
Consecuencias
El impacto es directo y grave para cualquier equipo de desarrollo que confíe en paquetes de código abierto sin verificar su integridad. Al ejecutarse el ladrón, puede robar credenciales, tokens de acceso, datos de sesión, archivos sensibles y claves de API. Al afectar a los tres sistemas operativos principales, ningún miembro del equipo está fuera de alcance. Además, al abusar de una herramienta de desarrollo como VS Code, el código malicioso puede pasar desapercibido para firewalls tradicionales y soluciones antivirus que no monitorean la actividad interna del IDE.